Проектування та розроблення інтелектуального агента виявлення кіберзагроз та ШПЗ в корпоративних мережах

ПРОЕКТУВАННЯ ТА РОЗРОБЛЕННЯ ІНТЕЛЕКТУАЛЬНОГО АГЕНТА ВИЯВЛЕННЯ КІБЕРЗАГРОЗ ТА ШПЗ В КОРПОРАТИВНИХ МЕРЕЖАХ

DESIGN AND DEVELOPMENT OF AN INTELLECTUAL AGENT FOR DETECTION OF CYBER THREATS AND MALWARE IN CORPORATE NETWORKS

Сторінки: 89-94. Номер: №5, 2020 (289)
Автори:
С.М. ЛИСЕНКО, Т.М. КИСІЛЬ, Р.В. ЩУКА
Хмельницький національний університет
S. LYSENKO, T. KYSIL’, R. SHCHUKA
Khmelnytskyi National University
DOI: https://www.doi.org/10.31891/2307-5732-2020-289-5-89-94
Рецензія/Peer review : 05.10.2020 р.
Надрукована/Printed : 27.11.2020 р.

Анотація мовою оригіналу

В роботі представлено інтелектуальний агент виявлення кіберзагроз та ШПЗ в корпоративних мережах, який представляє програмну систему із можливістю виявлення відомих та невідомих кібератак, ШПЗ мережного та хостового типу, а також здатністю продукувати множину сценаріїв безпеки для забезпечення резильєнтності КС в умовах кіберзагроз. Резильєнтність мережі та хостів забезпечується їх динамічною адаптивною реконфігурацією та множиною заходів, що дозволяють функціонувати системам в умовах атак. Інтелектуальний агент виявлення кіберзагроз та ШПЗ BotGRABBER – це мультивекторна система захисту, оскільки вона поєднує аналіз як в мережі, так і в активності хостів. Комбінована інформація дозволяє не тільки виявляти кібератаки різного типу, але й автоматично застосовувати необхідний сценарій безпеки мережної реконфігурації та адаптації КС відповідно до типу виявленої кібератаки. Інтелектуальний агент забезпечує можливість виявлення відомих та невідомих кібератак, можливість виявлення ботнетів, які використовують методи ухилення від DNS (циклічне відображення IP-адреси, “домен flux”, “швидкий flux” та DNS-тунелювання), здатність самостійно застосовувати сценарії безпеки для пом’якшення кібератак, забезпечення резильєнтності корпоративних мереж в умовах кібератак, забезпечення мультивекторного захисту корпоративних мереж.
Ключові слова: шкідливе програмне забезпечення, інтелектуальний агент, кіберзагроза, кібератака, комп’ютерна мережа, сценарій безпеки.

Розширена анотація англійською мовою

The purpose of this paper is to develop an intellectual agent for detection of cyber threats and malware in corporate networks – BotGRABBER. It provides a novel botnet detection framework with the key features given below: ability to detect the most known botnets’ cyberattacks; ability to detect the botnets that use the evasion techniques (cycling of IP mapping, “domain flux”, “fast flux” and DNS-tunneling); ability to self-adaptive appliance of the security scenarios for the cyberattacks mitigation, performed by botnets;  assuring the corporate area networks’ resilience in the presence of botnets’ cyberattacks; assurance of the multi vector protection for corporate area networks. The main components of the intellectual agent  are: Knowledge base. Knowledge base provides the information storage concerning to the cyberattacks performed by a botnet in the network and in the hosts. Here, each cyberattack is presented as the feature vector, which consists of functional botnets’ features. To increase the efficiency of the botnet detection each stage of possible botnet’s life cycle functioning (infection; initial registration or connection to C&C server; performance of the malicious activity; maintenance; its functioning termination) is presented by own feature vector.

1. Knowledge acquisition unit. Taking into account the increasing of the new ways to perform the cyberattacks proposed tool is provided by ability to update the knowledge about new botnets.
2. Network monitoring unit. This unit implements the network monitoring via gathering of the inbound and outbound network traffic. Collected information is converted into the feature vectors, and is sent to the SVM-based inference engine for further data processing.
3. Host monitoring unit. This unit implements the gathering the information about the hosts’ network activity and reports of the hosts’ antiviruses. It also converts the collected information into the feature vectors, and sends it to the SVM-based inference engine for further data processing.
4. SVM-based inference engine. This component provides an ability to classify the feature vectors obtained from the network. The main task of the SVM-based inference engine is to range obtained feature vector in a class, which will indicate whether it is cyberattacks, performed by botnet. If the attack is observed, the security scenario according to detected attack in order to mitigate it is to be applied.
5. Network reconfiguration unit. This unit applies produced by the SVM-based inference engine the security scenario for the CAN’s infrastructure.

Keywords: malware, intellectual agent, cyberattacks, cyberthreats, computer network, security scenario.

References

1. McAfee Mobile Threat Report Q1, 2020. URL: https://www.mcafee.com/content/dam/cons umer/en-us/docs/2020-Mobile-Threat-Report.pdf. – 9.12.2019. (application date: 10.07.2020).
2. 2020 State of Malware Report. URL: https://resources.malwarebytes.com/files/2020/02/2020_State-of-Malware-Report.pdf (application date: 10.07.2020).
3. Naval S., Laxmi V., Rajarajan M., et al. Employing program semantics for malware detection. IEEE Trans Inform Forens Secur. 2015. Vol.10. No.12. P. 2591–2604. URL: https://doi.org/10.1109/TIFS.2015.2469253
4. Kharraz A., Arshad S., Mulliner C., et al. UNVEIL: a large-scale, automated approach to detecting ransomware. Proc 25th USENIX Security Symp, 2016. P. 757–
5. Poeplau S., Fratantonio Y., Bianchi A., et al. Execute this! Analyzing unsafe and malicious dynamic code loading in Android applications. Proc Network and Distributed System Security Symp, 2014. P. 23–26. URL: https://doi.org/10.14722/ndss.2014.23328
6. Zhang F.W., Leach K., Stavrou A., et al. Using hardware features for increased debugging transparency. Proc IEEE Symp on Security and Privacy, 2015. P .55–69. URL: https://doi.org/10.1109/SP.2015.11
7. Fratantonio Y., Bianchi A., Robertson W., et al. Triggerscope: towards detecting logic bombs in Android applications. Proc IEEE Symp on Security and Privacy, 2016. P. 377–396. URL: https://doi.org/10.1109/SP.2016.30
8. Suarez-Tangil G., Conti M., Tapiador J.E. et al. Detecting targeted smartphone malware with behavior-triggering stochastic models. Proc 19th European Symp on Research in Computer Security, 2014. P. 183–201. URL: https://doi.org/10.1007/978-3-319-11203-9_11
9. Beaucamps P., Gnaedig I., Marion J.Y. Abstraction-based malware analysis using rewriting and model checking. Proc 17th European Symp on Research in Computer Security, 2012. Р. 806–823. URL: https://doi.org/10.1007/978-3-642-33167-1_46
10. Yang C., Xu Z.Y., Gu G.F., et al. DroidMiner: automated mining and characterization of fine-grained malicious behaviors in Android applications. Proc 19th European Symp on Research in Computer Security, 2014. P. 163–182. URL: https://doi.org/10.1007/978-3-319-11203-9_10.
11. Canadian Institute for Cybersecurity. Botnet dataset, (accessed January 10, 2019). URL: https://www.unb.ca/cic/datasets/botnet.html.
12. Murphy K.P. Machine learning: a probabilistic perspective. 1 st edition. The MIT press., 2012. 1102.
13. AV Comparatives laboratories. URL: http://www.av-comparatives.org. (application date: 26.01.2020).
14. Virus Bulletin. URL: http://www.virusbtn.com (application date: 26.01.2020).
15. Comparative antivirus testing. URL: http://www.av-comparatives.org. (application date: 26.01.2020)